2023年1月信息安全管理体系基础真题参考答案.docxVIP

2023年1月信息安全管理体系基础练习题参考答案

一、单项选择题（共20题，每题1分，共20分）

1.信息安全管理体系（ISMS）的核心框架基于以下哪项国际标准？

A.ISO/IEC20000

B.ISO/IEC27001

C.ISO9001

D.ISO14001

答案：B

解析：ISO/IEC27001是专门针对信息安全管理体系的国际标准，规定了建立、实施、保持和改进ISMS的要求；ISO20000是IT服务管理标准，ISO9001是质量管理标准，ISO14001是环境管理标准。

2.以下哪项不属于信息安全管理体系PDCA循环中“Plan（策划）”阶段的活动？

A.确定信息安全方针

B.进行风险评估

C.实施控制措施

D.定义ISMS范围

答案：C

解析：PDCA循环中“Plan”阶段包括确定方针、范围、风险评估及控制措施选择；“Do”阶段包括实施和运行控制措施；因此“实施控制措施”属于“Do”阶段。

3.信息资产分类的主要依据通常不包括？

A.资产的价值

B.资产的所有者

C.资产的敏感性

D.资产的使用频率

答案：B

解析：资产分类的依据通常是资产的价值（如财务价值、业务价值）、敏感性（如公开、内部、机密）、使用频率（如关键业务依赖程度），而所有者是资产责任归属的标识，并非分类依据。

4.在风险评估中，“威胁发生的可能性”与“脆弱性被利用的难易程度”共同决定了？

A.风险影响

B.风险等级

C.风险处置方式

D.资产价值

答案：B

解析：风险等级由威胁可能性（Likelihood）和影响程度（Impact）共同决定，而脆弱性是威胁利用的条件，直接影响威胁发生的可能性，因此两者结合评估风险等级。

5.信息安全方针的制定主体应为？

A.信息安全管理员

B.IT部门负责人

C.最高管理层

D.内部审核组

答案：C

解析：ISO27001要求最高管理层批准信息安全方针，以确保方针与组织战略一致，并获得资源支持。

6.以下哪项是信息安全事件的正确定义？

A.任何可能危害信息安全的事件

B.违反信息安全策略或标准的事件

C.已识别的对信息安全造成实际或潜在影响的不期望事件

D.导致信息系统宕机超过1小时的事件

答案：C

解析：信息安全事件需满足“不期望”且“造成实际或潜在影响”，包括未实际造成损害但存在风险的情况（如未遂的攻击）。

7.关于信息安全管理体系内部审核，以下描述错误的是？

A.审核员应独立于被审核部门

B.审核频率至少每年一次

C.审核目的是验证ISMS的符合性和有效性

D.审核结果无需向最高管理层报告

答案：D

解析：内部审核结果需形成报告并提交最高管理层，作为管理评审的输入之一，以支持持续改进。

8.以下哪项控制措施属于ISO27001A.13.1“信息安全事件管理”的要求？

A.定期备份数据

B.制定事件响应计划

C.限制物理访问权限

D.对员工进行安全意识培训

答案：B

解析：A.13.1明确要求建立事件管理流程，包括事件响应计划；数据备份属于A.10.7（备份），物理访问属于A.9.1（物理安全），安全意识培训属于A.7.2（意识与培训）。

9.在风险处置中，“风险接受”的前提是？

A.风险已降至可接受水平

B.无法通过控制措施降低风险

C.管理层明确批准并记录

D.风险影响小于控制成本

答案：C

解析：风险接受需经管理层正式批准并记录，即使风险可能较高，也需通过文档化确认责任和决策依据。

10.信息安全管理体系的“范围”应明确以下哪项内容？

A.信息安全方针的具体条款

B.涉及的物理场所、部门及信息资产

C.内部审核的具体日期

D.所有员工的安全职责

答案：B

解析：ISMS范围需明确边界，包括物理位置（如总部、分支机构）、组织单元（如研发部、财务部）及涵盖的信息资产（如客户数据、知识产权）。

11.以下哪项不属于ISO27001中“相关方”的范畴？

A.客户

B.供应商

C.竞争对手

D.员工

答案：C

解析：相关方指受ISMS影响或能影响ISMS的个人或组织，包括客户（数据权益）、供应商（外包服务）、员工（执行职责），竞争对手通常不直接关联。

12.信息安全风险评估的步骤顺序应为？

①资产识别与赋值②风险分析③威胁与脆弱性识别④风险评估结果记录